Monitorování Azure Firewall protokolů (starší verze) a metrik
Tip
Vylepšenou metodu pro práci s protokoly brány firewall najdete v tématu Protokoly strukturované brány firewall Azure.
Bránu Azure Firewall můžete monitorovat pomocí protokolů brány firewall. K auditu operací na prostředcích brány Azure Firewall můžete také použít protokoly aktivit. Pomocí metrik můžete zobrazit čítače výkonu na portálu.
Některé z těchto protokolů jsou přístupné z webu Azure Portal. Protokoly můžete odeslat do protokolů služby Azure Monitor nebo služeb Storage a Event Hubs a analyzovat je můžete v protokolech služby Azure Monitor nebo pomocí jiných nástrojů, jako jsou Excel nebo Power BI.
Poznámka
Tento článek byl nedávno aktualizován tak, aby místo Log Analytics používal termín protokoly Azure Monitoru. Data protokolu jsou stále uložená v pracovním prostoru služby Log Analytics a stále je shromažďuje a analyzuje stejná služba Log Analytics. Aktualizujeme terminologii tak, aby lépe odrážela roli protokolů ve službě Azure Monitor. Podrobnosti najdete v tématu Změny terminologie služby Azure Monitor .
Poznámka
K interakci s Azure doporučujeme použít modul Azure Az PowerShell. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Požadavky
Než začnete, měli byste si přečíst Azure Firewall protokoly a metriky, kde najdete přehled diagnostických protokolů a metrik dostupných pro Azure Firewall.
Povolení diagnostického protokolování prostřednictvím webu Azure Portal
Než se data v protokolech po dokončení tohoto procesu zapnutí protokolování diagnostiky zobrazí, může to trvat několik minut. Pokud na začátku nic nevidíte, zkuste to znovu za pár minut.
V Azure Portal otevřete skupinu prostředků brány firewall a vyberte bránu firewall.
V části Monitorování vyberte Nastavení diagnostiky.
Pro Azure Firewall jsou k dispozici tři starší protokoly specifické pro službu:
- pravidlo aplikace Azure Firewall (starší verze Azure Diagnostics)
- pravidlo sítě Azure Firewall (starší verze Azure Diagnostics)
- proxy Azure Firewall DNS (starší verze Azure Diagnostics)
Vyberte Přidat nastavení diagnostiky. Stránka Nastavení diagnostiky obsahuje nastavení diagnostických protokolů.
Zadejte název nastavení diagnostiky.
V části Protokoly vyberte Azure Firewall Pravidlo aplikace (starší verze Azure Diagnostics),Azure Firewall Síťové pravidlo (starší verze Azure Diagnostics) a Azure Firewall Proxy DNS (starší verze). Azure Diagnostics) ke shromažďování protokolů.
Vyberte Odeslat do Log Analytics a nakonfigurujte pracovní prostor.
Vyberte své předplatné.
Jako tabulku Destination (Cíl) vyberte Azure Diagnostics (Diagnostika Azure).
Vyberte Uložit.
Povolení protokolování diagnostiky pomocí PowerShellu
Protokolování aktivit je u každého prostředku Správce prostředků povolené automaticky. Abyste mohli začít shromažďovat data dostupná prostřednictvím těchto protokolů, musíte zapnout protokolování diagnostiky.
Pokud chcete povolit protokolování diagnostiky pomocí PowerShellu, postupujte následovně:
Poznamenejte si ID prostředku pracovního prostoru služby Log Analytics, ve kterém jsou uložená data protokolu. Tato hodnota je ve tvaru:
/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>Můžete použít libovolný pracovní prostor ve vašem předplatném. Tuto informaci najdete pomocí webu Azure Portal Informace se nacházejí na stránce Vlastnosti prostředku.
Poznamenejte si ID prostředku brány firewall. Tato hodnota je ve tvaru:
/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>Tuto informaci najdete pomocí webu Azure Portal.
Pomocí následující rutiny PowerShellu povolte protokolování diagnostiky pro všechny protokoly a metriky:
$diagSettings = @{ Name = 'toLogAnalytics' ResourceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>' WorkspaceId = '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>' } New-AzDiagnosticSetting @diagSettings
Povolení protokolování diagnostiky pomocí Azure CLI
Protokolování aktivit je u každého prostředku Správce prostředků povolené automaticky. Abyste mohli začít shromažďovat data dostupná prostřednictvím těchto protokolů, musíte zapnout protokolování diagnostiky.
Pokud chcete povolit protokolování diagnostiky pomocí Azure CLI, postupujte následovně:
Poznamenejte si ID prostředku pracovního prostoru služby Log Analytics, ve kterém jsou uložená data protokolu. Tato hodnota je ve tvaru:
/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>Můžete použít libovolný pracovní prostor ve vašem předplatném. Tuto informaci najdete pomocí webu Azure Portal Informace se nacházejí na stránce Vlastnosti prostředku.
Poznamenejte si ID prostředku brány firewall. Tato hodnota je ve tvaru:
/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>Tuto informaci najdete pomocí webu Azure Portal.
Povolte protokolování diagnostiky pro všechny protokoly a metriky pomocí následujícího příkazu Azure CLI:
az monitor diagnostic-settings create -n 'toLogAnalytics' --resource '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/Microsoft.Network/azureFirewalls/<Firewall name>' --workspace '/subscriptions/<subscriptionId>/resourceGroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<workspace name>' --logs "[{\"category\":\"AzureFirewallApplicationRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallNetworkRule\",\"Enabled\":true}, {\"category\":\"AzureFirewallDnsProxy\",\"Enabled\":true}]" --metrics "[{\"category\": \"AllMetrics\",\"enabled\": true}]"
Zobrazení a analýza protokolu aktivit
Data protokolu aktivit si můžete zobrazit použitím jedné z následujících metod:
Nástroje Azure: Načtěte informace z protokolu aktivit prostřednictvím Azure PowerShellu, Azure CLI, rozhraní Azure REST API nebo webu Azure Portal. Podrobné pokyny k jednotlivým metodám najdete v článku o operacích s protokoly aktivit ve Správci prostředků.
Power BI: Pokud ještě účet Power BI nemáte, můžete ho vyzkoušet zdarma. Díky balíčku obsahu protokoly aktivit Azure pro Power BI můžete svá data analyzovat pomocí předkonfigurovaných řídicích panelů, které můžete použít okamžitě nebo si je upravit.
Microsoft Sentinel: Můžete připojit Azure Firewall protokoly ke službě Microsoft Sentinel, což vám umožní zobrazit data protokolů v sešitech, použít je k vytváření vlastních upozornění a začlenit je, abyste zlepšili šetření. Datový konektor Azure Firewall ve službě Microsoft Sentinel je aktuálně ve verzi Public Preview. Další informace najdete v tématu Připojení dat z Azure Firewall.
Přehled najdete v následujícím videu od Mohit Kumar:
Zobrazení a analyzování protokolů pravidel sítě a aplikace
Azure Firewall Workbook poskytuje flexibilní plátno pro analýzu dat Azure Firewall. Můžete ho použít k vytváření bohatých vizuálních sestav v rámci Azure Portal. Můžete se připojit k několika branám firewall nasazeným v Azure a zkombinovat je do sjednocených interaktivních prostředí.
Můžete se také připojit k účtu úložiště a načíst položky protokolu JSON s protokoly přístupu a výkonu. Po stažení souborů JSON je můžete převést do formátu CSV a zobrazit si je v Excelu, Power BI nebo jiném nástroji s vizualizací dat.
Tip
Pokud znáte Visual Studio a máte představu, jak u konstant a proměnných v jazyce C# měnit hodnoty, můžete použít nástroje pro převedení protokolů, které jsou k dispozici na GitHubu.
Zobrazit metriky
Přejděte na Azure Firewall. V oblasti Monitorování vyberte Metriky. Chcete-li zobrazit dostupné hodnoty, vyberte rozevírací seznam METRIKA.
Další kroky
Teď, když jste nakonfigurovali bránu firewall tak, aby shromažďovala protokoly, můžete prozkoumat protokoly služby Azure Monitor a zobrazit data.